10.3. 일치하는 규칙에 사용할 인증서에서 데이터 가져오기


다음 절차에서는 인증서 매핑 규칙의 일치하는 규칙에 복사하여 붙여넣을 수 있도록 인증서에서 데이터를 가져오는 방법을 설명합니다. 일치하는 규칙에 필요한 데이터를 가져오려면 sssctl cert-show 또는 sssctl cert-eval-rule 명령을 사용합니다.

사전 요구 사항

  • PEM 형식의 사용자 인증서가 있습니다.

절차

  1. 필요한 데이터를 검색할 수 있도록 인증서가 올바르게 인코딩되었는지 확인하는 변수를 만듭니다.

    # CERT=$(openssl x509 -in /path/to/certificate -outform der|base64 -w0)
  2. sssctl cert-eval-rule 을 사용하여 일치하는 데이터를 확인합니다. 다음 예제에서는 인증서 일련 번호가 사용됩니다.

    # sssctl cert-eval-rule $CERT --match='<ISSUER>CN=adcs19-WIN1-CA,DC=AD,DC=EXAMPLE,DC=COM' --map='LDAPU1:(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<SR>{serial_number!hex_ur})'
    Certificate matches rule.
    Mapping filter:
    
        (altSecurityIdentities=X509:<I>DC=com,DC=example,DC=ad,CN=adcs19-WIN1-CA<SR>0F0000000000DB8852DD7B246C9C0F0000003B)

    이 경우 altSecurityIdentities= 후 모든 항목을 AD의 altSecurityIdentities 속성에 추가합니다. SKI 매핑을 사용하는 경우 --map='LDAPU1:(altSecurityIdentities=X509:<SKI>{subject_key_id!hex_u})' 를 사용합니다.

  3. 선택 사항: 인증서 발행자가 ad.example.com 도메인의 dcs19- Cryostat1-CA 와 일치해야 함을 지정하는 일치 규칙에 따라 CLI에 새 매핑 규칙을 생성하려면 사용자 계정의 altSecurityIdentities 항목과 일치해야 합니다.

    # ipa certmaprule-add simple_rule --matchrule '<ISSUER>CN=adcs19-WIN1-CA,DC=AD,DC=EXAMPLE,DC=COM' --maprule 'LDAPU1:(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<SR>{serial_number!hex_ur})'
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.